Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
webauthn_study_ritou.pdf
Search
ritou
October 28, 2019
Technology
3
1k
webauthn_study_ritou.pdf
2019/10/28 開催の #webauthn_study の発表資料です。
https://web-study.connpass.com/event/149833/
ritou
October 28, 2019
Tweet
Share
More Decks by ritou
See All by ritou
MIXI Mと社内外のサービスを支える認証基盤を作るためにやってきたこと #MTDC2024
ritou
2
320
Passkeys and Identity Federation @ OpenID Summit Tokyo 2024
ritou
1
550
Webアプリ開発者向け パスキー対応の始め方
ritou
4
5.1k
様々なユースケースに利用できる "パスキー" の 導入事例の紹介とUXの課題解説 @ DroidKaigi 2023
ritou
3
4.1k
パスキーはユーザー認証を どう変えるのか?その特徴と導入における課題 @ devsumi 2023 9-C-1
ritou
6
11k
Android/Chromeで体験できる 認証のための標準化仕様の 現在と未来 @ DroidKaigi 2022
ritou
2
6.3k
C向けサービスで 使われている認証方式と安全な使い方
ritou
12
2.9k
現状のFedCMの動作解説と OIDCとの親和性について- OpenID TechNight vol.19
ritou
2
970
GNAP超入門 ~ IW2021 C15
ritou
2
5k
Other Decks in Technology
See All in Technology
AWS IAMのアンチパターン/AWSが考える最低権限実現へのアプローチ概略(JAWS-UG朝会#59資料改修20分版)
htan
0
330
簡単に始めるSnowflakeの機械学習
nayuts
1
190
データベース研修 分析向けSQL入門【MIXI 24新卒技術研修】
mixi_engineers
PRO
0
110
フルリモートワークはエンジニアの夢を叶えたか? #cm_odyssey
mamohacy
2
600
CTOから見た事業開発とプロダクト開発 / My Perspective on Business and Product Development as CTO
keisuke69
4
960
コンテナ・K8s研修 - 前半 コンテナ基礎・ハンズオン【MIXI 24新卒技術研修】
mixi_engineers
PRO
0
170
LINE WORKSへ簡単通知!Incoming Webhookアプリの紹介
mmclsntr
0
110
Flutter研修【MIXI 24新卒技術研修】
mixi_engineers
PRO
0
160
目標設定は好きですか? アジャイルとともに目標と向き合い続ける方法 / Do you like target Management?
kakehashi
10
3k
OSSコミットしてZennの課題を解決した話
dyoshikawa1993
0
150
What is DRE? - Road to SRE NEXT@広島
chanyou0311
3
620
Git 研修 Advanced【MIXI 24新卒技術研修】
mixi_engineers
PRO
0
200
Featured
See All Featured
Art, The Web, and Tiny UX
lynnandtonic
291
20k
Product Roadmaps are Hard
iamctodd
PRO
48
10k
Put a Button on it: Removing Barriers to Going Fast.
kastner
58
3.3k
No one is an island. Learnings from fostering a developers community.
thoeni
17
2.8k
Building Better People: How to give real-time feedback that sticks.
wjessup
357
18k
I Don’t Have Time: Getting Over the Fear to Launch Your Podcast
jcasabona
26
1.8k
Clear Off the Table
cherdarchuk
89
320k
Happy Clients
brianwarren
94
6.5k
Fashionably flexible responsive web design (full day workshop)
malarkey
399
65k
CSS Pre-Processors: Stylus, Less & Sass
bermonpainter
353
29k
"I'm Feeling Lucky" - Building Great Search Experiences for Today's Users (#IAC19)
danielanewman
224
21k
ParisWeb 2013: Learning to Love: Crash Course in Emotional UX Design
dotmariusz
105
6.8k
Transcript
WebAuthnの導入事例から見る 定石と今後の課題 @ritou #webauthn_study 2019/10/28
@ritou
本日の内容 •事例から導入のポイントを整理 •2段階/2要素としての導入 •「パスワードレス」としての導入 •GOAL:不安になりそうな部分を認識し て導入に向けた一歩を踏み出す
2段階/2要素としての導入
の前に、リカバリーの話
by 誰か “FIDOはリカバリーが課題だよね”
アカウントリカバリー •利用不可能になったクレデンシャルの無効 化&再設定 •パスワード •TOTP(Secret) •リカバリーコード •Authenticator(PublicKey) •別の認証方式 or 複数登録
に収束
パスワード認証における リカバリー •忘れた •別の認証方式 + 再設定 •利用できない環境 •覚えてればあらゆる環境で利用可能
SMS/Emailへ通知における リカバリー •番号、メアドが変わった •別の認証方式 + 無効化/再設定 •一時的に利用できない環境、状況 •別の認証方式
TOTPにおける リカバリー •手元の端末の設定消した、落とした •別の認証方式 + 無効化/再設定 •一時的に利用できない環境、状況 •別の認証方式
リカバリーコードの リカバリー(?) •紛失、盗難 •別の認証方式 + 無効化/再発行 •一時的に利用できない環境、状況 •別の認証方式
FIDOにおける リカバリー •紛失、盗難 •別の認証方式もしくは複数登録可能 にして無効化/再設定 •利用できない環境 •別の認証方式
リカバリーは それほど問題ではない
(改めて) 2段階/2要素としての導入
導入事例 •Google, Github… •パスワード認証との組み合わせ •間違っても単一要素で通さない
どこに手を入れるか •アカウント設定 •認証 •再認証 •(2段階/2要素が必須でない限りは)新 規登録の対応は任意
アカウント設定 •追加認証を有効にする •リカバリー設定 : 別の認証方式を用意 •SMS/Emailによる通知 •リカバリーコード設定 •Authenticator(PublicKey)設定 •名前をつけるタイミング?
アカウント設定 (Github)
認証 •パスワード認証+追加認証を要求 •複数ある場合に優先する認証方式? •設定やWebAuthnの利用可否で分岐? •別の認証方式への切り替え •スキップ機能 = Cookieの所持認証?
認証(Github)
再認証 •例 : Github •「パスワード確認」していたところ に WebAuthn が利用可能
再認証(Github)
検討事項
(検討事項) リカバリー用の認証方式 •海外サービスでは最低でも2つは用意 している模様 •SMS •リカバリーコード •カスタマーサポートの負担が決まる
(検討事項) 利用可能な環境の制限 •制限する場合は管理が必要 •User-Agent •Platform or Cross-platform •Attestation
(検討事項) 追加認証要求のタイミング •パスワード認証「成功」したら要求 •パスワード認証結果に関わらず要求 •パスワード認証前に要求
まとめ •アカウント設定のあたりは定石と呼 べるものができており、環境を縛る かどうかぐらいか •認証部分はまだ考慮すべき点がある かも?
パスワードレスとしての導入
2段階/2要素に比べて なんとなく不安?
やはりリカバリー?
(あなたの思う) パスワードレスとは? •パスワードを使わない •所持 or 生体 or 記憶(ローカル?) •FIDO UP(UserPresent)はNG?
•FIDO UV(UserVerified)相当 •所持 + (記憶 or 生体)
パスワードを使わない •単一要素の認証方式とFIDO UVの組み 合わせ •SMS/Email/Pushへの通知 •ソーシャルログイン •緩いとこに攻撃を受ける覚悟が必要
FIDO UV相当 •複数要素の認証方式が必要 •それがなかったからFIDOなんだろ? •他のサービスで2段階/2要素してる IdPとのID連携? •IdPがMFAを保証してくれたら使え そう -> OpenID
Connect!
どこに手を入れるか •アカウント設定 •認証 •再認証 •新規登録(FIDO必須な場合)
検討事項
(検討事項) Resident Keyの利用 •サービスのユーザー識別を先にする かどうか •メアドやSMSを入れる手間を減らせ るか? •RK非対応環境ではどうする?
RedidentKey利用アリ (Microsoft)
RedidentKey利用ナシ (Y!J)
(検討事項) 新規登録フロー、リカバリー •リカバリー考慮して効率的に2種類 の認証方式を設定するには? •新規登録も要件の分解が必要 •連絡先、属性情報、クレデンシャル •#iddance でやるよ
まとめ •リカバリー用に別の認証方式は必要 •サービスが必要とする認証要素によ り、実装に幅が出そう •新規登録フローについてはまだ手本 となるサービスはなさそう
終わり •質問などは @ritou までください •11/1(金)に #iddance やります